Le premier classement des vulnérabilités en ligne

Par Matthieu DURAND, le 07 août 2003 à 07h00 , mis à jour le 07 août 2003 à 17h17

Sur Internet, les pirates utilisent les failles des logiciels pour entrer dans des réseaux et leur porter préjudice. Une société américaine a lancé le premier palmarès actualisé de ces "vulnérabilités".
qualys RV10 top ten vulnérabilités capture site 190 © INTERNE

Qualys, société américaine spécialisée dans la sécurité en ligne, a lancé le premier classement "en temps réel" des dix "vulnérabilités" les plus dangereuses et les plus répandues sur Internet. En clair, le RV10 (pour Real-Time top 10 vulnerabilities) met à jour régulièrement les principales défaillances des réseaux informatiques dans lesquels s'engouffrent les pirates du Web.

"Lois de vulnérabilité"

A l'origine de ce palmarès, une étude menée par la société sur les 185.000 ordinateurs de ses clients, qui a donné lieu à 1,5 million d'audits (scans en anglais). De cette masse d'informations, il est ressorti "certains éléments communs à tous nos clients", explique à tf1.fr Jean-Paul Hadjadj, directeur commercial à Qualys France. Ce que la société baptisera les "lois de vulnérabilité", à savoir : 1) il faut 30 jours pour corriger 50% des failles les plus dangereuses d'un réseau ; 2) il faut 60 jours pour que 80% des codes d'exploitation soient à nouveau disponibles ; 3) malgré toutes les corrections apportées, certaines vulnérabilités sont "immortelles", c'est-à-dire qu'elles réapparaîtront ultérieurement ; 4) au sein du RV10, la moitié des vulnérabilités changent d'une année sur l'autre.

Sur les dix failles les plus dangereuses, la moitié concerne ainsi des produits Microsoft. Une marque très répandue d'où "statistiquement, une plus forte probabilité qu'elle soit touchée" par ces vulnérabilités, pointe Jean-Paul Hadjadj. Mais le RV10 souligne également, s'il en était besoin, que les outils commercialisés par la firme américaine ne sont pas exempts de défauts. Microsoft IIS (Internet information server) est notamment montré du doigt : "Certains de ses composants permettent de modifier une information originale publiée par ce serveur web", souligne Pascal Beaulieu, chez Qualys. De quoi ravir les traficoteurs en ligne.

Sous 15 jours

Le RV10 offre ainsi une vision actualisée des brèches les plus menaçantes pour un réseau informatique. Et Qualys propose aux entreprises de tester la vulnérabilité de leurs équipements, gratuitement sur son site. Avec, logique commerciale oblige, l'objectif de proposer ses services aux sociétés "vulnérables". Mais, en rendant public ce classement, la société ne risque-t-elle pas de donner des idées aux pirates ? "Les correctifs (aux défaillances, NDLR) sont connus : il s'agit de logiciels ou de versions supérieures à installer", assure Jean-Paul Hadjadj. Et les hackers connaissent ces failles, ajoute-t-il. Au delà de l'aspect commercial, déclare-t-il, "nous essayons de sensibiliser les éditeurs sur la fourniture rapide de correctifs. Et nous voulons montrer aux utilisateurs confrontés à des vulnérabilités qu'il est important de réagir dans les quinze jours".

e-TF1 n'est aucunement responsable du contenu des sites externes
pour lesquels elle offre des liens.

Par Matthieu DURAND le 07 août 2003 à 07:00
Envoyer cette page à un ami
Les champs marqués par une étoile * sont obligatoires.
Les derniers articles High-Tech
  

Commentaires

Afficher : Les plus récents | Les plus appréciés

       Chargement en cours...
      Alertez-nous
        alertez-nous

        Témoin d'un événement ?

        Alertez la rédaction !

        Envoyez une alerte

        A lire aussi
        logAudience